検出

SUSE SLED12 / SLES12セキュリティ更新プログラム:java-1_7_0-openjdk(SUSE-SU-2017:0490-1)

critical Nessus プラグイン ID 97296

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

java-1_7_0-openjdk用のこの更新プログラムでは、以下の問題が修正されています:

 - OpenJDK 7u131への2017年1月のOracle重要パッチ更新(bsc#1020905):

 - セキュリティ修正

 - S8138725:Javadoc生成のオプションを追加します

 - S8140353:署名チェックを強化します

 - S8151934、CVE-2017-3231:クラス解決を解決します

 - S8156804、CVE-2017-3241:制約チェックの改善

 - S8158406:制限されたパラメーター処理

 - S8158997:JNDIプロトコルスイッチ

 - S8159507:RuntimeVisibleAnnotation検証

 - S8161218:バイトコードローディングの改善

 - S8161743、CVE-2017-3252:適切なログインコンテキストを提供します

 - S8162577:ロギングレベルを標準化します

 - S8162973:コンポーネントコンポーネントの改善

 - S8164143、CVE-2017-3260:メニュー項目のコンポーネントを改善します

 - S8164147、CVE-2017-3261:ストリーミングソケット出力を改善します

 - S8165071、CVE-2016-2183:TLSサポートを拡大します

 - S8165344、CVE-2017-3272:並行性サポートを更新します

 - S8166988、CVE-2017-3253:画像処理パフォーマンスを改善します

 - S8167104、CVE-2017-3289:追加のクラス構築の改善

 - S8167223、CVE-2016-5552:URL処理の改善

 - S8168705、CVE-2016-5547:ObjectIdentifier検証の改善

 - S8168714、CVE-2016-5546:ECDSA検証の強化

 - S8168728、CVE-2016-5548:DSA署名の改善

 - S8168724、CVE-2016-5549:ECDSA署名の改善

 - S6253144:ロング縮小変換で、使用されるアルゴリズムと暗黙の「リスク」を説明する必要があります

 - S6328537:SocketOptionsへの参照を追加して、Socketクラスのjavadocsを改善します

 - S6978886:javadocは、ディスクがいっぱいで出力エラーが発生した後にスタックトレースを表示します

 - S6995421:sun.security.ec.ECKeyFactoryへの静的な依存性を排除します

 - S6996372:ハンドシェイクハッシュの同期

 - S7027045:(doc)java/awt/Window.javaのjavadocにいくつかの誤字が含まれています

 - S7054969:java/securityドキュメンテーション内のNull-check-in-finallyパターン

 - S7072353:JNDIライブラリがjavacで構築されません
 -Xlint:all -Werror

 - S7075563:「javax.swing.SwingWorker」内の壊れたリンク

 - S7077672:jdk8_tlが夜間に2011年8月10日のステップ2ビルドで失敗します

 - S7088502:セキュリティライブラリは、javac で構築しません
 -Werror

 - S7092447:ロケールに依存する各操作で使用されるデフォルトロケールを明確にします

 - S7093640:クライアント側TLS 1.2をデフォルトで有効にします

 - S7103570:SecurityManagerのインストール時にAtomicIntegerFieldUpdaterが機能しません

 - S7117360:java.util.concurrent.atomicパッケージの警告

 - S7117465:IMFクラスの警告クリーンアップ

 - S7187144:ScriptEngineFactory.getProgram()のJavaDocにエラーが含まれています

 - S8000418:javadocは、標準の「 javadocによって生成された」文字列を使用する必要があります

 - S8000666:javadocは、文字列を組み立てる代わりに、ライターに直接書き込む必要があります

 - S8000673:HtmlWriterとサブタイプからデッドコードを削除します

 - S8000970:JDKのマルチコアコンパイルを回避する補助クラスを準備します

 - S8001669:javadocの内部DocletAbortExceptionは、必要に応じて理由を設定する必要があります

 - S8008949:javadocがdocファイルのコピーを停止しました

 - S8011402:証明書のブラックリスト登録ロジックをハードコードからデータに移動します

 - S8011547:XML署名実装をApache Santuario 1.5.4に更新します

 - S8012288:XML DSig APIは、SignedInfo内の間違ったタグ名と余分な要素の存在を可能にします

 - S8016217:javadoc警告を増やします

 - S8017325:java.security.cert内のjavadoc <code>タグのクリーンアップ

 - S8017326:java.security.spec内のjavadoc <code>タグのクリーンアップ

 - S8019772:javax.cryptoサブパッケージとjavax.securityサブパッケージのdoclint問題を修正します

 - S8020557:javax.securityでのjavadocのクリーンアップ

 - S8020688:http://docs.oracle.com/javase/6/docs/api/indexにあるドキュメント内の破損したリンク。

 - S8021108:java.textパッケージ内のdoclintの警告とエラーをクリーンアップします

 - S8021417:java.util.concurrent内のdoclint問題を修正します

 - S8021833:javax.netでのjavadocのクリーンアップ

 - S8022120:JCKテストapi/javax_xml/crypto/dsig/TransformService/index_ParamMe thodsが失敗します

 - S8022175:javax.print内のdoclint警告を修正します

 - S8022406:java.beans内のdoclintの問題を修正します

 - S8022746:APIドキュメントのスペルミスのリスト

 - S8024779:[macosx] 終了時にSwingNodeがクラッシュします

 - S8025085:[javadoc] javax/swingのいくつかのエラー

 - S8025218:[javadoc] java/awtクラスのいくつかのエラー

 - S8025249:[javadoc] javax/swing/のいくつかのjavadocエラーを修正します

 - S8025409:doclintレポートによって報告されたjavadocコメントのエラーと警告を修正します

 - S8026021:doclintによって報告されたjavadocのエラーと警告の追加修正、説明を参照

 - S8037099:[macosx] ネイティブOBJ-CコードからGCへのすべての参照を削除します

 - S8038184:ID 属性値が空の文字列の場合、XMLSignature が StringIndexOutOfBoundsException をスロ―します

 - S8038349:DSAでXMLに署名すると、キーが1024ビットより大きい際に例外がスローされます

 - S8049244:バッファされていない署名データによって引き起こされるXML署名のパフォーマンス問題

 - S8049432:TLSプロパティjdk.tls.client.protocolsの新しいテスト

 - S8050893:(smartcardio)sun/security/smartcardioのテストでreset引数を反転させます

 - S8059212:カードリーダーが見つからなかった場合に失敗しないように回帰テストを変更します

 - S8068279:(仕様書内の誤字)javax.script.ScriptEngineFactory.getLanguageName

 - S8068491:docs.oracle.comの参照用のプロトコルをHTTPSに更新します。

 - S8069038:javax/net/ssl/TLS/TLSClientPropertyTest.javaをJDK-8061210用に更新する必要があります

 - S8076369:JDK 7u用のjdk.tls.client.protocolsシステムプロパティを導入します

 - S8139565:1024ビット未満のDSAキーで証明書を制限します

 - S8140422:デフォルト以外のルートCAがアルゴリズム制限の対象にならないようにするメカニズムを追加します

 - S8140587:Atomic*FieldUpdaters はダイレクトクラスチェックではなく Class.isInstance を使用する必要があります

 - S8143959:ブラックリストが必要な証明書

 - S8145984:[macosx] sun.lwawt.macosx.CAccessibleの漏洩

 - S8148516:JDK内のECのデフォルト強度を改善します

 - S8149029:ラッピング攻撃のチェック時にXMLベースのデジタル署名の検証が常に有効にされることを保証します

 - S8151893:セキュリティプロパティを追加して、XML署名の安全な検証モードを構成します

 - S8155760:シリアル化フィルタリングを実装します

 - S8156802:制約チェックの改善

 - S8161228:カスタムプロトコルハンドラーを持つURLオブジェクトのポートが逆シリアル化後に変更されました

 - S8161571:ECDSA署名の検証で後続バイトが許可されます

 - S8163304:jarsigner -verbose -verifyは、jarの署名に使用されるアルゴリズムを出力する必要があります

 - S8164908:IIOPとカスタムシリアル化のReflectionFactoryサポート

 - S8165230:特定の入力に伴うRMIConnection addNotificationListenersの失敗

 - S8166393:disabledAlgorithmsプロパティは厳密に解析されないようにする必要があります

 - S8166591:[macos 10.12] OS X 10.12 Sierraでのテキストのトラックパッドスクロールが速すぎます(トラックパッド、Retinaのみ)

 - S8166739:フィルターに渡されるObjectInputFilter情報の拡張性を向上させます

 - S8166875:(tz)tzdata2016gをサポートします

 - S8166878:TLSハンドシェイク中の接続リセット

 - S8167356:8164143のjdk8バックポートの修正をフォローアップします。
 CMenuComponent.mの変更が失われていました

 - S8167459:選択された暗号スイートがレガシーかどうかを示すためのデバッグ出力を追加します

 - S8167472:JDK-8148516とのChromeの相互運用性回帰

 - S8167591:MD5を署名付きJAR制限事項に追加します

 - S8168861:AnchorCertificatesは、cacertsキーストアに対してハードコードされたパスワードを使用します

 - S8168993:JDK8u121 L10nリソースファイルの更新

 - S8169191:(tz)tzdata2016iをサポートします

 - S8169688:1月のCPUのjdk.jar.disabledAlgorithmsからMD5をバックアウト(削除)します

 - S8169911:JDK-8163304より後のjarsigner -verbose -verifyの強化されたテスト

 - S8170131:jdk.tls.disabledAlgorithmsプロパティによって証明書がブロックされません

 - S8170268:8u121 L10nリソースファイルの更新 - msgdrop 20

 - S8173622:7180907のバックポートが不完全です

 - S8173849:テストケースでのjava.util.Base64の使用を修正します

 - S8173854:[TEST] 8076328と8081760以降のDHEKeySizingテストケースを更新します

 - CVE-2017-3259 脆弱性により、認証されていない攻撃者が、複数のプロトコルを介してネットワークにアクセスし、Java SEを侵害する可能性があります。

 - バックポート

 - S7102489、PR3316、RH1390708:RFE:__APPLE__システムと_LLP64システム上のjlong typedefをクリーンアップします。

 - S8000351、PR3316、RH1390708:保有期間のしきい値は符号なしにする必要があります

 - S8153711、PR3315、RH1284948:[REDO] invokeMethodコマンドの処理時にGlobalRefsが絶対に削除されません

 - S8170888、PR3316、RH1390708:[linux] コンテナ(つまり、Docker)環境におけるcgroupメモリ制限のサポート

 - バグ修正

 - PR3318:「infinality」を「improved font rendering」に置き換えます(--enable-improved-font-rendering)

 - PR3318:vanilla Fontconfigとの互換性を修正します

 - PR3318:グリフy先行を修正します

 - PR3318:26.6空間でのグリフアドバンスを常に丸めます

 - PR3318:グリフアドバンス処理を簡略化します

 - PR3324:PR1989によって破損されたmake_generic_profile.sh内のNSS_LIBDIR置換を修正します

 - AArch64ポート

 - S8165673、PR3320:AArch64:JNI浮動小数点引数の処理を修正します</code></code>

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Server for SAP 12:zypper in -t patch SUSE-SLE-SAP-12-2017-255=1

SUSE Linux Enterprise Server for Raspberry Pi 12-SP2:zypper in -t patch SUSE-SLE-RPI-12-SP2-2017-255=1

SUSE Linux Enterprise Server 12-SP2:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2017-255=1

SUSE Linux Enterprise Server 12-SP1:zypper in -t patch SUSE-SLE-SERVER-12-SP1-2017-255=1

SUSE Linux Enterprise Server 12-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-2017-255=1

SUSE Linux Enterprise Desktop 12-SP2:zypper in -t patch SUSE-SLE-DESKTOP-12-SP2-2017-255=1

SUSE Linux Enterprise Desktop 12-SP1:zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2017-255=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

http://www.nessus.org/u?2c4f4829

https://bugzilla.suse.com/show_bug.cgi?id=1020905

https://www.suse.com/security/cve/CVE-2016-2183/

https://www.suse.com/security/cve/CVE-2016-5546/

https://www.suse.com/security/cve/CVE-2016-5547/

https://www.suse.com/security/cve/CVE-2016-5548/

https://www.suse.com/security/cve/CVE-2016-5549/

https://www.suse.com/security/cve/CVE-2016-5552/

https://www.suse.com/security/cve/CVE-2017-3231/

https://www.suse.com/security/cve/CVE-2017-3241/

https://www.suse.com/security/cve/CVE-2017-3252/

https://www.suse.com/security/cve/CVE-2017-3253/

https://www.suse.com/security/cve/CVE-2017-3259/

https://www.suse.com/security/cve/CVE-2017-3260/

https://www.suse.com/security/cve/CVE-2017-3261/

https://www.suse.com/security/cve/CVE-2017-3272/

https://www.suse.com/security/cve/CVE-2017-3289/

http://www.nessus.org/u?9b905757

プラグインの詳細

深刻度: Critical

ID: 97296

ファイル名: suse_SU-2017-0490-1.nasl

バージョン: 3.8

タイプ: local

エージェント: unix

公開日: 2017/2/21

更新日: 2021/1/6

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-debugsource, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-demo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-demo-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-devel, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-devel-debuginfo, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-headless, p-cpe:/a:novell:suse_linux:java-1_7_0-openjdk-headless-debuginfo, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/2/17

脆弱性公開日: 2016/9/1

参照情報

CVE: CVE-2016-2183, CVE-2016-5546, CVE-2016-5547, CVE-2016-5548, CVE-2016-5549, CVE-2016-5552, CVE-2017-3231, CVE-2017-3241, CVE-2017-3252, CVE-2017-3253, CVE-2017-3259, CVE-2017-3260, CVE-2017-3261, CVE-2017-3272, CVE-2017-3289